SJW74系列TPN安全网关配置手册v51

SJW74系列TPN安全网关配置手册V5.1QjADTAssuredData2008年4月目录TOC\o"1-5"\h\z\o"CurrentDocument"第1章TPN安全网关简介 6\o"CurrentDocument"1.3 应用环境 7\o"CurrentDocument"1.5 接入方式 8\o"CurrentDocument"第2章 开始配置安全网关 9\o"CurrentDocument"2.! 配置工具和配置方式 9\o"CurrentDocument"配置工具 9\o"CurrentDocument"配置途径 9\o"CurrentDocument"对安全网关进行实时配置 9\o"CurrentDocument"通过串行口对网关进行实时配置 10\o"CurrentDocument"通过网络对网关进行实时配置 11\o"CurrentDocument"实时保存配置信息 12\o"CurrentDocument"导入导出配置文件 12\o"CurrentDocument"清仝安全网关配置 13\o"CurrentDocument"第3章初始化向导 14\o"CurrentDocument"3.1 设备初始化的步骤 14\o"CurrentDocument"第4章 系统基本信息配置 19\o"CurrentDocument"配置软件的基本结构 19\o"CurrentDocument"系统维护 19\o"CurrentDocument"设备管理・ 21\o"CurrentDocument"集中管理. 22\o"CurrentDocument"设备告警. 23\o"CurrentDocument"网络设置 27\o"CurrentDocument"基本设置. 27\o"CurrentDocument"网络接口 29\o"CurrentDocument"DHCP服务 32\o"CurrentDocument"4.4.3 网络服务 41\o"CurrentDocument"第5章 VPN配置 46\o"CurrentDocument"VPN的相关配置 47\o"CurrentDocument"身份认证方式和缺省预共享密钥 47\o"CurrentDocument"数字证书. 48\o"CurrentDocument"密钥生命周期. 52\o"CurrentDocument"NAJ穿透功能 53\o"CurrentDocument"配置局域网到局域网的VPN 56\o"CurrentDocument"典型环境下的VPN配置. 57\o"CurrentDocument"局域网中有多个网段时的VPN配置. 62\o"CurrentDocument"VPN向导 66\o"CurrentDocument"第6章 防火墙配置 70\o"CurrentDocument"地址映射（NAT）配置 70\o"CurrentDocument"配置NAT的通常步骤. 70\o"CurrentDocument"NAT 70\o"CurrentDocument"状态检测配置 75\o"CurrentDocument"快速过滤配置 76\o"CurrentDocument"HTTP检测配置 77\o"CurrentDocument"非法URL检测设置. 77\o"CurrentDocument"URL过滤以置. 78\o"CurrentDocument"HTTP检测在策略中的设置. 81\o"CurrentDocument"用户认证配置 82\o"CurrentDocument"攻击检测配置 84\o"CurrentDocument"IDS互动配置 87\o"CurrentDocument"MAC地址绑定配置 88\o"CurrentDocument"网关ARP代理 89\o"CurrentDocument"第7章安全策略 917.! 安全策略的匹配 91策略的匹配机制和快速匹配功能 91\o"CurrentDocument"策略生效时间. 92\o"CurrentDocument"安全策略的顺序调整 92\o"CurrentDocument"安全策略相关操作 93\o"CurrentDocument"第8章多链路配置 94\o"CurrentDocument"] 工作原理. 94\o"CurrentDocument"配置方法 94\o"CurrentDocument"配置实例. 96\o"CurrentDocument"8.2.1 工作原理• 101\o"CurrentDocument"8.3 策略路由 105\o"CurrentDocument"第9章 WEB客户端 1089.1 寸入WEB客ノ,セ而 108\o"CurrentDocument"第10章TPN配置 110\o"CurrentDocument"10.1.1 基本イM底 110\o"CurrentDocument"10.1.3 权限对象 115\o"CurrentDocument"用户/认证管理 126用户管理. 126\o"CurrentDocument"在线用户 130\o"CurrentDocument"禁用用户 131\o"CurrentDocument"认证服务器（第三方服务器认证） 131\o"CurrentDocument"认证选项. 132\o"CurrentDocument"TPN向导 133\o"CurrentDocument"自定义进程特征库 136\o"CurrentDocument"TPN推荐配置顺序 137\o"CurrentDocument"第11章 事件与报告 139\o"CurrentDocument"系统日志 139\o"CurrentDocument"流量统计 141\o"CurrentDocument"威胁报告 142\o"CurrentDocument"第12章 其他功能 144\o"CurrentDocument"流量控制 144\o"CurrentDocument"基于策略的流量を制. 144\o"CurrentDocument"基于用户的流量控制. 147\o"CurrentDocument"移动加速 149\o"CurrentDocument"调整NAT映射表项刷新时间 15312.5.2 使用she〃交，而 155\o"CurrentDocument"12.5.5文件导入导出功能 158\o"CurrentDocument"12.6.1内核升级 159\o"CurrentDocument"恢复备份配置 164雨^配自 165\o"CurrentDocument"附录 166\o"CurrentDocument"附录A主要名词术语解释 166\o"CurrentDocument"附录B安全网关配置常见问题 166\o"CurrentDocument"附录C推荐配置顺序 168感谢您购买ADTSJW74系列安全网关!本手册将为您详细介绍安达通SJW74TPN系列安全网关的使用方法。欢迎访问安达通公司网站him:〃,及致电本公司400-880-1233。第1章TPN安全网关简介功能简介安全网关应用IKE技术和Ipsec技术对!P数据流进行端到端的加密保护,实现异地子网之间的安全互联,以及移动用户对固定网络的安全接入,提供VPN服务;安全网关应用NAT技术使得企业内部私有地址能够访问外部互联网,并且能将内网服务器的端口映射到公网上;安全网关应用包过滤和状态检测技术保护内网主机和服务器,提供防火墙的功能:安全网关具有链路备份和负载均衡的功能,支持在两条线路接入下的链路备份功能,以及多条线路（2-3条）接入下的链路负载均衡功能安全网关具备隧道接カ、隧道嵌套、VPN后NAT、NAT后VPN等多种髙级功能,能够组建各种复杂的VPN网络，满足客户的各种应用需求。安全网关和TPN主机端程序利用身份认证技术和主机检测技术，实现进程检测和接入安全功能。硬件接口以SJW74T-1000为例，安全网关外形如下图所示:SJW74T-300、SJW74T-500、SJW74T-IOOO、安全网关带有4个网口，其中一个LANロ,ー个WANロ,ー个EXTO口和一个EXTIロ（均为10/100M自适应,WAN/EXT0/EXT1均可做为公网出口）；SJW74T-I5OO、SJW74T-3000安全网关带有4个网口,其中一个LANロ,ー个WANロ,一一个EXT0口和一个EXT1ロ（均为10/100M/1000M自适应,WAN/EXT0/EXT!均可做为公网出ロ）;各型号的网关还具备:两个COMロ,COM1用于配置和故障恢复,COM2作为双机热备时“心跳线”的连接口;!个电源指示灯;4个网络接口指示灯。应用环境SJW74安全网关的典型应用环境如下图,总部采用两条用户可以参考该图规划自己的应用环境。工作模式安全网关支持在路由模式和透明模式两种模式下工作,能够满足在各种网络环境下的应用。在路由模式下，安全网关作为ー个三层设备工作,通常部署在内外网的边界,为内外网提供路由、防火墙过滤、NAT和IPSEC加密等功能；在透明模式下,安全网关作为ー个透明网桥工作在二层,对通过安全网关的数据流进行包过滤或提供IPSEC加密服务。此时,可以任意设置LAN口和WANロ地址。使用透明模式可以不改变用户原有的网络结构和地址规划，并且能使非IP的其他协议（比如IPX、NETBEUI等）顺利透过安全网关；另外,ADT安全网关还具备ー个非常有用的特点,即在透明模式下还能正常提供路由模式下オ具备的路由转发、NAT等功能,在ー些特殊场合下,该特性能实现“混和工作模式”（即透明和路由并存）。注意:支持多线路接入的链路备份和链路均衡功能只在路由模式下有效。接入方式SJW74系列安全网关支持以太网固定地址接入、DHCP自动获取地址接入、PPPOE拨号接入（比如ADSL、CABLE）等几种方式,多线路接入时,可以实现上述各种接入方式的组合,同时能支持多个PPPOE拨号链路，能适用于绝大部分的网络环境。第2章开始配置安全网关配置工具和配置方式配置工具在安全网关能正常工作之前,必须经过正确的系统配置:对安全网关的各种配置操作都需要通过安全网关控制台（SureConsole）软件进行。配置途径安全网关控制台能通过网络和COMロ两种手段对安全网关进行配置。通常使用COMロ对安全网关进行初始化配置,使用网络进行远程管理和配置;通过网络进行配置时，安全网关控制台软件使用SSL来保证与安全网关通信数据的安全;无论通过网络还是串行口对安全网关进行配置，都需要进行用户认证。对安全网关进行实时配置安全网关的出厂缺省配置;◊根用户:root〇根用户缺省密码:changeit（中文意思为“改掉它”）〇しANロ1P地址:,掩码:〇其他接口IP地址均为空〇策略为空（默认全部阻断）对一台刚出厂的设备，建议通过“初始化向导”工具进行初始化配置,初始化配置可以通过网络或串行口进行（详见第三章《初始化向导》）。2.2.I通过串行口对网关进行实时配置安全网关的串行口配置线为两头都为九孔或RJ45的串行连接线（设备包装附带）如用户自行制作该连接线,线序如下:口九孔的线两头2、3号线进行交叉;□RJ45的线3、6号线进行交叉。配置步骤如下:.在主机上安装安全网关控制台（SureConsole）软件;.用串行口连接线将安全网关的COM口与配置主机的COMロ相连接（注意:如碰到有两个串口的安全网关,均连接到C0M1）；.打开安全网关电源,等待网关完成启动（根据设备的不同,这个过程需要时间约30秒〜2分钟）；.打开安全网关控制台软件,选择“串口连接”，在‘‘本机串口”选择本机与安全网关相连接的串口编号,输入管理员用户名和密码，点击’‘确定”;登录界面如下:登录确定は)取消©5.进入配置主界面;如下图所示:ン安全网美平台网关(5)両口Q)S«Y),一,七-连接保存0登录确定は)取消©5.进入配置主界面;如下图所示:ン安全网美平台网关(5)両口Q)S«Y),一,七-连接保存0TB«ゴ累如«妒,カ网增设・・セ对象莒理>.i防火墻SみVPN♦.安全策略i双机，出&・ッ睡跪点・* -策略路由>：**WE8客户・♦ !爲色/权M者过♦，.用戸/认证管理わ。■事件月报青工具(I)相助(由ニ 〇W 关于ー控創台系厕间:200831914:28:11系统已经运行了。天。小时23分•22秒基本價・网关名稀: TB序列号: ADT-746P-06030053软件版本: 5.1.001tb_l耍件版本: SJW74-T500工作模式: 路由模式幣び顔本:3.0,1定制«!勒模式:庠エ・]資A使用CPU： 30.5%内存: 48.3%Sff： 0036%ー网络接口接口 塩址 摊码 状る用用用用t*fiEeevi用用用用t*fiEeeviwan 45extO 45extl 0.0,0.0PPPoE(wan) 00.0.0益VPN向导ムTPN配益VPN向导耽罐 目标网关!32,132.0.245 置录用戶root 逹接时间24秒2.2.2通过网络对网关进行实时配置.在主机上安装安全网关控制台(SureConsole)软件:.用ー根交叉线(反线)或通过Hub、交换机将安全网关的LAN口和配置主机进行连接,将配置主机的该接口1P地址改为«掩码。.打开安全网关电源;.在配置主机上启动安全网关控制台,选择“网口连接”,在目标网关输入安全网关LAN口地址“192.168丄1”,输入密码,点击“确定”;登录界面如下:.进入配置主界面。实时保存配置信息点击安全网关控制台主界面上的“保存”按钮或者选择“网关”菜单ド的“保存配置”,即将安全网关的当前配置保存到内部的存储器中。注意:网关重新启动过后按最后一次保存的配置运行。导入导出配置文件在实时配置模式下，选择安全网关控制台“网关”菜单下的“导出配置”项，在弹出的对话框中选择存放路径并输入文件名，点击“确定”按钮，即保存配置文件到指定目录。

连接（り ►▼ク连接（り ►▼ク刷新重新启动（B）网关升级（5特征库导出（E）▲清空配置（C）保存配置（9导入配置（I）重新装载（财导出配置（り恢复备份（め同步配置（り:设置接口6（动态DN!路由表NTRUNK退出Q）> 1 >»T<，f,ピ安全同美平台网关（0操作（〇）查看（り工具（D帮助（ヒ在实时配置模式下,选择安全网关控制台“网关”菜单下的“导入配置”项,在弹出的对话框中选择指定目录下的配置文件,点击“确定”按钮,接着重新装载配置或者重启安全网关，即按配置文件中的配置运行;利用安全网关配置可导入导出的特性，可以进行安全网关的大批量离线编辑,再统ー导入;也可以通过分析配置文件进行离线的故障诊断等等;注意:在导入配置之后重新装载配置或者重启网关之前，不要点“保存”按钮。清空安全网关配置在安全网关控制台“网关”菜単下选择“清空配置”，接着重新启动安全网关,安全网关的配置即恢复到出厂状态。注意:在清空配置之后重启网关之前,千万不要保存配置,否则清空将失效。第3章初始化向导从一台刚出厂的安全网关,到符合用户的要求进行正常工作,通常要经过各种配置。在刚开始配置时建议首先使用安全网关控制台中的“初始化向导”工具对安全网关做初始化配置,通过初始化向导能够设置网关的基本信息并实现ー些基本功能。3.1设备初始化的步骤打开初始化向导可以通过两种途径:在安全网关控制台的“工具”菜单下选择“初始化向导”或者直接选择安全控制台首界面下的初始化向导链接。打开初始化向导后的界面如下图所示:点击“下ー步”，提示选择网关型号并输入网关名称:

点击“下ー步”,选择接入方式,在初始化向导中默认为单线路接入,以固定地址接入为例:点击“下ー步”,选择何种动态接入方式（PPPoE或DHCP）,并输入相关信息，以及接口是否允许ping和管理等等，以“PPPoE”为例:

点击“下ー步'配置网关的Lan口地址:点击’‘下一步”,配置VPN参数,要注意的是“VPN隧道端点“和‘’内部DNS”等参数都只用于客户端,当用安全网关控制台制作SurelD（即部署客户端）时オ会用到这些参数:

点击“下ー步”,配置集中管理参数,安全网关可以工作在“自主管理”和“集中管理”两种模式下，“自主管理”可以选择“接受监控”。所谓“集中管理”，是指通过ADT网管服务器(SureManager)统一下发VPN参数(节点、隧道、策略)，从而达到快速部署VPN网络的目的，并且网关统ー上报运行状态，接受网管服务器的监控。在安全网关上可以选择“自主管理”和“集中管理”两种方式,“自主管理”方式下可以选择“接受监控”,即只向网管服务器上报运行信息，不接受ド发VPN参数。一旦选择“集中管理”或者“自主管理”下的“接受监控”,都需要在下面“参数设置”里输入服务器IP,用户名、密码等参数。点击“下ー步”，至此初始化向导的所有信息都输入完毕，初始化向导即将初始化的信息传送到安全网关,并将安全网关重启。当初始化完成后,安全网关将自动重新启动,启动后安全网关就按向导中配置的信息运行。注意:初始化按照一条线路接入的配置，如要新增线路需另外配置。注意:建议将一台网关应用到ー个新的环境之前先使用初始化向导做一遍初始化。第4章系统基本信息配置在本章中将介绍安全网关控制台软件的基本结构和系统基本信息的配置方法。系统基本信息包括安全网关的名字、管理员帐号、系统II期、在后面配置中要用到的对象等等。配置软件的基本结构不论是实时配置模式或者还是编辑配置文件的形式,都将通过相同的配置界面來完成配置工作。安全网关控制台的主界面分为两大部分,左边的树形结构包括了所有的配置项目:右边是具体的配置内容,以列表的形式为主:当选中左边某个项目时,右边会出现相应的已配置信息，通过在右边列表中的操作,可以进行各种各样的配置。当配置软件与安全网关的通信出现错误或岀现其他错误时，右边的下面部分会出现ー个显示提示信息的列表框。配置界面的上部有一排导航栏按钮，这些按钮除了“连接”、“保存”、“刷新”几个基本功能按钮之外,其他的会根据左边选中的配置选项不同而变化，用于对配置具体内容的操作:“连接”按钮用于重新连接ー个安全网关或重新编辑ー个配置文件;“保存”按钮用于保存配置信息或导入导出配置文件;“刷新”按钮用于在实时模式下从安全网关刷新当前的配置,在编辑配置文件模式下从配置文件刷新当前配置。配置界面底部显示了当前的安全网关状态、用户配置连接方式、登录用户名、连接时间等信息。系统维护系统维护是配置选项中的第一个大项,其中包括五个小项，下面分别介绍各自的功能。设备信息设备信息中包括“设备名称”、“所有者”、“管理员”、“联系方法”等内容，记录这些信息仅仅是为了区分设备以及记录管理员和联系方式，这些信息与今后的配置无任何关联；编辑设备信息的步骤如下:.选中“设备信息”后,双击右边的列表或者点击导航栏上的“属性”按钮;.在弹出的对话框上编辑设备信息,点击“确定”；如下图所示:4.2.2日期与时间在该项中显示并可更改安全网关当前的系统时间和日期。修改时间日期的步骤如下:.双击右边列表中“系统时间”ー项或单击该项并在导航栏按钮中点击属性,弹出修改对话框，可以手工修改，也可以选择“与本机保持一致”，如选择“与本机保持一致”,配置软件自动从配置主机上读取日期时间并设置到安全网关上去;.点击“确定”；如下图：

4.2.3设备管理设备管理选项显示了当前所有用户信息,以及目前登录用户信息等等。缺省设备只有ー个root用户,root用户具有最高权限:在右边列表中显示出最后一个用户连接的IP地址、当前每个用户的当前连接数目等信息;系统维护ー＞设备管理名称角色控制台当前连接最近连接[1.根用户无限制12005-12-1916:52:54从132,132.100.15 .用户可以自行添加用户,用户添加的用户分为两个级别,分别为’‘管理用户”和‘‘浏览用户”，管理用户可以对安全网关进行各种配置，浏览用户只能实时查看当前网关的配置信息，不能修改配置。添加用户时，能够对新加用户进行IP限制,即限定该IP地址オ能登录网关进行配置査询或修改。添加用户界面如下:

在设备管理下,点击“选项”按钮,可更改ー些控制用户登录的参数,主要包括‘‘空闲切断时间”，“最大在线个数”和“禁止重変登录”如下图所示:4.2.4集中管理集中管理功能是配合“安全网关网管系统"(SureManager)实现对网关的集中监控和策略分发的功能。注意:使用该功能必须在已经安装了一台“安全网关网管系统”的前提下。开启集中管理的步骤如下：.在左侧树形结构中选择“系统维护”下的“集中管理”,点击导航栏上的“属性”按钮,或者双击右侧的“集中管理”项;.在弹出的对话框中选中“启用集中管理功能”,输入服务器IP,即网管服务器的IP地址,端口默认为4600,输入用户名和密码，点击“确定”即可。注意:用户名与密码在网管服务器上设定。关于集中管理的详细使用方法,可参考“安全网关网管系统”的相关手册和资料。4.2.5设备告警设备告警选项分两个子选项，“告警服务器”和“告警邮件”，分别用来设置当设备产生紧急程度相当高的事件时立即将该告警信息发送到邮件服务器或ADT专用告警服务器。设置告警服务器选项的步骤如下:.选中“告警服务器”，双击右边的列表;.在弹出的对话框中选中“启用告警服务器”，接着在下面的文本框中输入告警服务器的IP地址和端口，如需用户认证,则还需输入认证密码;.点击“确定”按钮;如下图：

设置告警邮件的步骤如F：.选中“告警服务器”,双击右边的列表;.在弹出的对话框中选中“发送告警邮件”,接着在下面的文本框中输入SMTP服务器的域名或IP地址，如需SMTP认证，则输入认证密码;.点击“确定”按钮;如下图:4.2.6设备日志设备日志选项分三个子选项,“事件记录”、“日志服务器”和“日志邮件”。“事件记录”用来设置对哪些类型的日志进行记录,达到一定的过滤效果,设置的步骤如下:.选中“事件记录”，双击右边的列表或点击导航栏上的“属性”按钮;.在弹出的对话框中对需要记录的日志类型进行打勾，“事件记录”从日志紧急程度和II志产品模块两方面进行日志过滤;.点击“确定”按钮:如下图:“日志服务器”用来设置设备产生的11志同步发送到ADT专用日志服务器,设置步骤如下:.选中“日志服务器”,双击右边的列表或点击导航栏上的“属性”按钮;.在弹出的对话框中选中“发送日志到外部日志服务器”，选择日志服务器的类型是ADT专用II志服务器或者标准syslog服务器,在下面的文本框中输入服务器的IP地址和端口号，如果服务器需认证，则输入认证密码:.点击“确定”按钮：如下图:

“日志邮件”用来设置或当日志达到ー定数目以后通过邮件方式发送到指定邮箱,设置步骤如下:.选中“日志邮件”,双击右边的列表或点击导航栏上的“属性”按钮;.在弹出的对话框中选中’‘当日志存储空间不够时发送日志邮件”，接着在下面的文本框中输入SMTP服务器的域名或IP地址，如需SMTP认证，则输入认证密码:.点击“确定”按钮;如下图:经过如上设置后,通常情况下,当日志数量达到1024条以上时,会自动发送到指定邮箱中。注意:安全网关产生日志后首先保存在本地，当超过存放空间，安全网关会删除所有本地日志,重新开始记录日志。如果设置了日志服务器，则同步发送到日志服务器,如果设置了邮件服务器，当达到ー定数目以后再发送到指定邮箱。4.3网络设置网络设置中包括了与安全网关相关的所有相关网络基本信息。基本设置基本设置中有三个选项，“工作模式”、“组播支持”以及“VPNTCPMMS”。“工作模式”决定了安全网关是工作在路由模式还是透明模式下,即是工作在三层还是二层;当工作在透明模式时，除了能透过二层以太网帧,安全网关的三层路由、地址映射等功能依旧有效,能做到两者兼顾。双击“工作模式”表项或者选中该项点击导航栏上的“属性”按钮,在弹出的对话框中即可设置工作模式，如下图:

在“组播支持”中设置是否允许组播报文透过安全网关。无论安全网关工作在路由模式还是透明模式下,该设置均有效。VPNTCPMMS选项是用于在VPN隧道穿越NAT时,让网关或者客户端能顺利穿透对UDP分段报文丢弃的防火墙时使用,在正常以太网MTU值下，该参数默认值为1368。在某些主机或路由器MTU小于正常值时可以适当调低该参数。注意:该参数调得过低会导致TCP应用通信效率降低。“组播支持”和“VPNTCPMMS”在同一个对话框中设置，双击“组播支持”或“VPNTCPMMS”表项或者选中该项点击导航栏上的“属性”按钮，在弹出的对话框中即可设置是否允许支持组播报文透过，如下图:

网络接口在“网络接口”中可以设置设备各个接U的ip地址、接U速度以及双工模式等参数,以及PPPOE拨号的用户名密码等参数。双击右侧列表中的一个接口,或者选中该接口点击导航栏上的“属性”按钮,在弹出的对话框中可以看到该接口的参数信息，并对其进行修改。LANロ的接口信息配置如下图:最上面的是“启用本接口”选项，如果不选这个选项则该接口处于关闭（即Down）状态，下面的所有选项也都无效:在“接口地址”中可以指定改接口的IP地址和掩码，并且可以看到该接口的MAC地址:在“管理”选项中可以设定是否允许通过该接口配置网关;在“工作特性”选项中可以设定该接口的工作速率和双工模式、以及MTU等参数。“接入方式”选项用于TPN用户从该接口打开登录界面时，采用的登录方式。“本地接入”通常用于上网，VPN接入通常用于远程接入内网:通常在LAN口选择“本地接入''，

在WAN口选择“VPN接入”,ー个接口只能选择ー种接入方式。点击“接口地址”边上的“髙级”按钮可以在ー个接口上添加多个IP地址,如下图:SJW74C-4的DMZロ、EXT口配置与LAN口的配置类似,WAN口上不支持绑定多个IP地址。WAN口支持通过DHCP自动获取IP地址,在WAN口的接口属性中的“接口地址”选项下选择“DHCP获取”，点击“确定”，稍候片刻,即可通过DHCP获取IP地址,设置界面如下图:

PPPOE拨号SJW74系列安全网关支持多路的PPPOE拨号,除LAN口外的其他网口均可PPPOE拨号,以WAN口为例，设置PPPOE拨号的步骤如下:选择左侧树形结构“网络设置”下的“网络接口”，双击右侧表项中的WANロ，在弹出对话框中选择“PPPoE拨号”页签，选择“启用PPPoE拨号”,输入用户名和密码，如果ー个网络中存在多个PPPOE拨号服务,可以在服务名ー项中手工指定服务名,使设备拨到指定的服务上去,可以通过点击“Discover”按钮来获取当前网络中的所有PPPoE服务,获取的服务名会显示在“服务名”的列表下,如果希望安全网关启动和断线后自动拨号,则在“断线自动拨号”选项前打勾，如下图:

PPPOE拨号设置完成后,当选中WANロ时,导航栏上会出现一个“拨号”或“断开”按钮,用于进行手工的PPPOE拨号或断开连接。注意:设置PPPOE拨号的网口仅仅作为物理接口,连接ADSLmodem等设备，在拨号的同时,该接口本身的IP地址依然有效,相对于ー个物理接口上绑定了两个IP地址。DHCP月艮务安全网关能够为局域网内的主机提供DHCP服务,配置步骤如下:.在LAN口接口属性对话框内,选中“在本接口启用DHCP服务”,在下面的文本框中输入DHCP服务的相关参数,其中租借时间若设置为0,则采用默认的租借时间,为5天。.点击“确定”按钮。如下图：

注意:除WAN口外的接口均能提供DHCP服务,但同时只有一个生效。4.3.5DNSDNS选项中指定一个主DNS服务器地址和一个备用DNS服务器地址,用于网关本身对域名进行解析;当安全网关对局域网内其他主机提供DNSrelay服务时,也通过这些设定的DNS服务器进行域名解析。选中“DNS”选项，双击右侧列表或点击导航栏上的“属性”按钮,在弹出的対话框中输入主和备DNS服务器的IP地址,点击“确定”即可,如下图:4.3.6DDNSDDNS即动态域名服务,为设备在只有动态IP的情况下（比如ADSL拨号、DHCP获取地址）提供一个固定的域名,其它用户或者设备可以通过该固定域名直接访问安全网关设备。在配置DDNS之前,需要用户预先为安全网关注册ー个域名,安全网关支持花生壳动态域名。安达通公司提供专业级花生壳DDNS域名。启用DDNS选项功能,可以令安全网关通过动态域名作为VPN隧道的端点,提供解决动态!P地址下VPN互联的另ー种手段。双击DDNS选项卜.的右侧列表，在弹出的对话框中输入DDNS注册的相关信息，选中“启用DDNS服务”点击确定即完成DDNS的配置。如下图:

注意:花生壳的服务器使用15;端口使用606〇。4.3.7网络路由在该选项下可以查看、添加、删除安全网关中的路由表项;网络设置ー＞厨格路由目的地址名称 目的地址类型 淹码 网关地址名称 网关地址类型 路由表项类型〇:〇〇〇 …靜态I网址 000.0 i32：i32.i(B；254 静态配置. 静态IP地址 255.255.25... 静态IP地址 动态配置路由表中有目的地址类型、网关地址类型和路由表项类型三个可选项,在通常情况下,手工添加的静态路由的目的地址类型、网关地址类型都选择为“静态IP地址”,路由表项类型为“静态配置”，而系统自动生成的路由表项类型为“动态地址”。手工添加静态路由的步骤为:点击导航栏按钮上的“添加”按钮，在弹出的对话框中输入目的地址名称、掩码和网关地址名称，其他的均为默认选择,即完成一条路由的添加，如下图:点击导航栏按钮上的“删除”按钮,则删除当前选中路由表项;注意:当安全网关进行PPPOE拨号或DHCP自动获取地址时,默认路由自动添加,如原来已有默认路由,则会被删除。注意:当启用链路均衡时,默认路由只会显示其中的一条;注意:当安全网关工作在透明模式下时，网络路由的接口可能不能真实反映实际数据包的走向。ARP表在该选项下可以查看、添加、删除、清空安全网关中的叼表项;点击导航栏按钮上的“删除”按钮,则删除当前选中arp表项,点击导航栏按钮上的“清空”按钮,则清空arp表中的所有表项;注意：除了一些特殊的应用,在极少的情况下添加arp表项:注意：在arp表项上点击右键,可以直接将当前表项添加到MAC地址绑定表项中。VLANTRUNKVLANTRUNK作为・・项高级功能，能够使安全网关接在TRUNK口上，并且对TRUNK线路中的其中一个VLAN的IP数据流进行加密或防火墙过滤操作。要开启TRUNK功能的步骤如下:

.在VLANTRUNK选项下,点击导航栏上的“选项”按钮,在弹出的对话框中的“TRUNK控制”栏下在要开启TRUNK的接口前打勾;.点击“确定”如下图所示:当安全网关需要与位于其它VLAN的安全网关进行IKE协商,或者需要与位于其它VLAN的主机进行通信时，需要指定对方安全网关或主机所在VLAN的ID,因此需要输入对方IP地址与VLANID的对应表,在该项下点击导航栏上的‘‘添加”按钮,在弹出的对话框中输入对方IP与VLANID的对应表,如下图:VLAN协议支持802.1Q和ISL。点击“删除”按钮删除当前选中的!P-VLANID对应表项。注意:VLANTRUNK功能只有当安全网关工作在透明模式下オ有效;注意:安全网关启用VLANTRUNK功能后并不融入原有的VLAN体系,只是将原有TRUNK以太网帧的二层信息原封拷贝到加密后或做其它处理后的新数据包上。4.4对象管理在安全网关的配置中,安全策略、VPN隧道、地址映射等对IP地址、服务、协议、事件表等元素的引用都采用对象的方式,从而使配置的思路更加清晰,在复杂环境下大大减小了配置的复杂度。在“对象管理”大项中有四个小项,分别提供对“网络地址”、“网络协议”、“网络服务”和“时间表”这四种类型对象的增、删、改功能，下面分别介绍。网络地址网络地址中有“地址”和“地址组”两个选项，地址组是指包含了多个地址对象的ー个地址集合。地址对象有三种类型，分别为“子网”、“主机”和“范围”，用户可以根据自己的需求来选择地址对象的类型,当选择“子网”时，需要指定子网掩码。每个对象都有一个名称，用户可以根据自己的喜好对名称进行定义，除此之外,还有一项描述信息供用户使用，该项可以为空。添加一个地址对象的步骤如下:.在树形结构中选中“地址”ー项,在导航栏上点击“添加”按钮:.在弹出的对话框中输入相关信息，点击“确定”即可;如下图:

添加一个地址组对象的步骤如下:.在树形结构中选中“地址组”ー项,在导航栏上点击“添加”按钮;.在弹出的对话框中输入地址组名称,并在左侧列表中选择属于该地址组的地址对象到右侧,点击“确定”即可;如下图:

注意:地址对象和地址组对象的名字不能重复;除了在对象管理选项中添加地址、地址组对象,还可以在添加策略和VPN网关时临时添加地址、地址组对象。4.4.2网络协议网络协议对象指ip的上层协议,通过指定协议号来确定协议类型,用于在网络服务中被引用。添加一个网络协议对象的步骤如下:.在树形结构中选中“网络协议”ー项,在导航栏上点击“添加”按钮;.在弹出的对话框中输入协议名称和协议号，点击“确定”即可;添加EGP协议如ド图所示:注意:此处配置的网络协议指的是IP的上层协议,具体的协议规范详见RFC。4.4.3网络服务网络服务选项中包含“服务”和“服务组”两个小项,服务组是指包含了多个服务对象一个服务集合。网络服务对象描述了一个五元组中的三项信息,即源端口、目的端口和协议,用于在策略中被引用。当所选协议非TCP或UDP时,服务仅仅指协议。添加一个网络服务对象的步骤如下:.在树形结构中选中“服务”ー项，在导航栏上点击“添加”按钮;.在弹出的对话框中输入该服务的协议、源端口和目的端口信息,点击“确定”即可;添加一个向外访问的HTTP服务如下图所示:

安全网关控制台软件为用户总结了一些常用的服务,在选中树形结构中的“服务”选项后,点击“导航栏”上的“模板导入”按钮,即从模板文件中把ー些常用服务导入到网关中,导入后如下图:

注意:网络服务有方向之分,即外出和进入,从模板导入的所有服务都指外出的服务,进入的服务需自行定义,只需将源端口和目的端口调换即可。添加一个服务组对象的步骤如下:.在树形结构中选中“服务组”一项，在导航栏上点击“添加”按钮;.在弹出的对话框中输入服务组名称，并从左边列表选择属于该服务组的服务对象到右边列表，点击“确定”即可;如下图：

4.4.4时间表时间表描述了一个个时间段的集合,在添加安全策略时被引用,用于指定该策略的生效时间。添加一个时间对象的步骤如下:.在树形结构中选中“时间表”ー项，在导航栏上点击“添加”按钮:.在弹出的对话框中点击“添加”按钮添加时间段，重复操作直至添加了所有的时间段，点击“确定”即可:如下图:注意:ー个时间表中最多引用两个时间段。第5章VPN配置配置VPN的步骤通常配置安全网关的VPN功能之前需要确定以下几点:.IKE的身份认证的方式,安全网关支持预共享密钥和数字证书两种身份认证方式;.有哪些本地子网（或主机）和対方网关保护的子网（或主机）,需要通过安全网关进行VPN互联;.安全网关通过公有地址还是私有!P地址（通常是指WAN口地址或PPPOE拨号地址）与其他安全网关进行VPN互联;.若安全网关使用公有地址，该地址是固定的还是动态的（比如ADSL拨号）；.若安全网关使用私有地址，是通过动态映射访问公网,还是通过静态映射能够被公网中其他主机访问某个端口;.如果需要安全客户端接入本网关,需要为安全客户端规划・段私有IP地址;以上确定后，通常依照如下步骤来配置ー个VPN网关:.配置ー些VPN的参数，包括IKE身份认证的方式，如果采用证书认证则需要依次导入一系列证书;是否处于NAT设备后;是否采用动态地址接入,如果是动态接入则需要提供动态接入的类型和地址服务器的帐号和密码;.添加VPN节点对象,其中需要提供对方网关的WANロ地址（如果是固定地址接入）和LANU地址，预共享密钥（如果是预共享密钥方式认证）等信息，通过添加VPN节点，指定了和当前配置网关建立VPN隧道的对端网关的相关信息;.添加VPN隧道对象,需要指定隧道的类型（静态指定密钥信息还是动态协商），确定隧道的安全等级,选择隧道的对端VPN节点。.在安全策略中添加VPN策略，选择VPN隧道;.添加安全客户组信息,包括安全客户端的私有!P地址范围,能访问的子网,加密强度等信息:生成安全客户端;针对每个安全客户端制作SurelD：关于安全网关通过何种IP地址与公网相连对于VPN配置有着至关重要的关系。通常情况下，在ー个VPN网络中，至少需要一个结点有公网地址或者被静态映射（包括静态端口映射）到ー个固定公网地址（某些端口）;在全动态IP地址接入的情况下,需要使用ADT地址服务器或动态域名的方式来实现动态VPN互联。5.2VPN的相关配置VPN的相关配置主要包含在左侧树形结构“VPN”大项下的“密钥协商”和“动态接入”中,下面分别介绍。身份认证方式和缺省预共享密钥安全网关支持预共享密钥和数字证书两种身份认证方式。设置身份认证方式的步骤为:在左侧树形结构中选中“密钥协商”,在右侧的列表中双击”身份认证方式”，或选中该项点击导航栏上的“属性”按钮;在弹出的对话框中选择任何ー种身份认证方式或两者皆可（当证书模块未启用时,无法选择证书认证模式）；必要时，可以在该对话框中输入缺省预共享密钥;点击“确定”按钮。如下图;注意；缺省密钥是不指定VPN节点的密钥，即对所有的节点和客户端成员都有效的密钥,使用缺省密钥会降低系统的安全性,只有在特殊情况下使用缺省密钥,通常不推荐使用。数字证书当安全网关采用数字证书作为!KE的身份认证方式时,需要将CA根证书、设备证书、私钥等PKI相关元素导入到网关，另外根据需求，可配置CRL、OCSP等相关参数。在安全网关上导入数字证书可采用三种方式:在安全网关上生成PKCS10证书请求,用该请求到证书服务器上申请证书,再以文件形式导入PKCS12格式的证书;直接在证书服务器上申请证书，以文件形式导入PKCS12格式的证书;分别导入CA根证书、设备证书、设备私钥(非标准格式)。注意:安全网关使用的数字证书中主体名,即commomname(cn)选项必须为安全网关的LANロIP地址,以此将证书与安全网关绑定。采用何种方式生成并导入数字证书,用户可根据CA系统支持的标准以及具体需求来决定。下面分别说明在每种方式下的证书导入方式。先生成证书请求的方式首先导入根证书,选中左侧树形结构“VPN”大项下的“数字证书”小项，双击右侧“CA根证书”表项，在对话框中选择存放根证书的目录，如下图:点击“确定”按钮，完成根证书的导入。

右键点击た侧的列表,选择“证书请求”ー》“生成”,如下图所示:在弹出的对话框中输入，证书名称、机构名、国家等信息，如下图:点击“确定”,弹出是否导出的对话框，如卜ー图:点击“确定”,选择导出请求文件的存放目录，导出证书请求文件。利用证书请求申请数字证书的过程参考数字证书系统的说明书。生成数字证书后,右键点击右侧的列表，选择“导入PKCS12文件”，在弹出的对话框中选择证书文件所在目录，并输入密码,点击“确定”即可。直接导入的方式直接导入方式即省略掉上一种方式中生成证书请求的步骤,其他步骤与上一种方式相同。分别导入的方式首先导入根证书,选中左侧树形结构“VPN”大项下的“数字证书”小项,双击右侧“CA根证书”表项,在对话框中选择存放根证书的目录,如下图:点击“确定”按钮;双击右侧下部的列表的“设备证书”选项,在弹出的对话框中选择设备证书文件,如下图:点击“确定”按钮;双击右侧ド部的列表的“设备私钥”选项,在弹出的对话框中选择设备私钥文件,如

下图:点击“确定”按钮;注意:在导设备证书之前,需要首先导入CA根证书。导入和清空CRL右键点击右侧的列表,选择“CRL—》导入“，即导入CRL列表,在弹出的对话框中选择ー个扩展名为crl的文件，点击确定即可。相反,选择“清空”,即清空当前的CRL列表,如下图:证书模块点击导航栏上的“选项”按钮,在弹出的对话框中选中“启用证书功能模块”复选框,如果不启用OCSP（在线证书检查）,则直接点击“确定”按钮;如果启用OCSP,选中‘‘启用在线证书检查功能”复选框,输入服务器IP地址、端口、超时时间和CRL更新时间等参数,点击“确定”按钮。生命周期安全网关为了应对可能的各种网络攻击，保护网络通信的各种密钥需要定时更新，以确保在给定的时间内，攻击者无法对密文进行破解。对生命周期的描述由两个因素构成:时间和流量，只要其中一个因素超过设定值，安全网关之间就会协商新的密钥，并使用新的密钥来进行加密。在安全网关中,用SA（安全联盟）来描述一个VPN隧道,在ー个正常的安全隧道中，存在两种SA：IKESA（第一阶段SA）和IPSECSA（第二阶段SA）,第・阶段SA用于保护第二阶段SA密钥协商时的通信，第二阶段SAオ真正用来加密数据,他们分别具有不同的生命周期。以下是推荐的生命周期设置值:IKESA（第一ー阶段）生命周期时间生命周期:推荐时间为12小时,不小于6小时。流量生命周期:以K字节为单位,推荐值为10240KBIPSECSA（第二阶段）生命周期时间生命周期：推荐时间为6小时，不小于1小时。流量生命周期:以K字节为单位，推荐值为104800KB安全网关上按照上述的推荐值设置了默认的生命周期值。通常情况下,第一阶段的时间生命周期是第二阶段时间生命周期的两倍，修改IKE生命周期的步骤如下:选中左侧树形结构中“VPN”大项下的“密钥协商”小项，双击右侧“IKE密钥生命周期"或"IPSEC密钥生命周期”，或选中列表中该选项并点导航栏上的“属性”按钮;在弹出的对话框中输入要设定的生命周期数值，点击“确定”按钮。如下图:NAT穿透功能由于NAT在制定标准时只考虑了为TCP、UDP和ICMP三种协议做动态NAT（当时还没有提出Ipsec协议），因此先天就决定了!psec协议的报文是无法穿越NAT的，即当VPN设备（或客户端）之前有NAT设备时,就无法与其他的VPN设备建立安全隧道,这给VPN的实际应用带来了很大的局限性,ADT系列安全网关和安全客户端采用先进的NAT-T技术解决了VPN穿越NAT的问题，即通信双方有一台安全网关或安全客户端在NAT设备的后面时,也可以建立起VPN隧道,进行安全通信。设置NAT穿透的功能的步骤如下:选中左侧树形结构中“VPN”大项下的“密钥协商”小项,双击右侧列表中“NAT穿透功能模块”项,或选中该选项,并点导航栏上的“属性”按钮;在弹出的对话框中“网关在NAT设备后面”选项前打勾，点击“确定”按钮。如下图:当该选项选中后,安全网关就可在NAT设备后与其他安全网关建立安全隧道。注意:由于动态NAT的单向特性，在NAT后的安全网关必须主动发起协商才能成功协商隧道,因此该功能常常与隧道保持功能配合使用;注意:使用NAT穿透功能需保证与之通信的对方安全网关有公网!P地址,如果要实现两台都在NAT后的安全网关VPN通信,则需通过一台有公网IP地址的安全网关做隧道接カ;注意:使用NAT穿透功能后,VPN的安全等级不能为“低”。隧道保持功能由于安全网关间加密密钥定期更新的特性,当SA生命周期到期而又没有通信流量的时候,安全网关在删除旧的SA之后不会再协商新的SA,这给ー些应用带来了不便,隧道保持功能就是针对解决这个问题而设计。当启用该选项后，安全网关会根据安全策略定期检查定期SA是否存在，当检查到没有SA的时候会立即对对方安全网关发起协商，直到SA存在为止。可以设置定期检查的周期，建议将该周期设置成120秒。设置隧道保持功能的步骤如下:选中左侧树形结构中“VPN”大项下的“密钥协商”小项，双击右侧列表中“隧道保持功能模块”项,或选中该选项，并点导航栏上的“属性”按钮;在弹出的对话框中“启动隧道保持功能模块”选项前打勾，并再扫描间隔文本框中输入定期检查SA的周期，默认为120秒，点击“确定”按钮。如下图:注意:对于ー些协商总是单边发起的（比如对方安全网关在NAT设备后）情况,在接受方网关则无需启用该功能,因为在这些情况下,本网关无法主动发起协商,而相反在发起方的安全网关（动态或在NAT设备后）上应启用该功能。动态接入该功能用于解决动态VPN地址卜一的VPN互联，通过“ADT地址服务器”，同一个域中的安全网关可以相互知道对方的公网1P地址，从而建立安全隧道。当用户使用该功能时，ADT公司会提供ー个安全域的号码和密码，用户可以通过WEB界面在“ADT策略服务器”上添加安全网关的帐号。使用动态接入的步骤如下:选中左侧树形结构中“VPN”大项下的“动态接入”小项,双击右侧列表中的第一项,或点击导航栏上的“属性”按钮:在弹出的对话框中“启动策略服务器”选项前打勾,输入各项的具体内容,ADT公司提供的策略服务器IP地址为0,点击“确定”按钮。如下图:注意:网关ID的前四位数字为域号码，中间的字母G代表安全网关,后三位数字代表同一个域中的安全网关序号,添加安全网关ID后的初始密码为changeit:客户端!D的前四位数字为域号码,中间的字母C代表安全客户端,后三位数字代表同一个域中的安全客户端序号,安全客户端ID的初始密码为changeit:在此配置客户端ID和密码是为了制作SurelD时能把这些信息写入SurelD中，通常多个客户端共用一个客户端ID和密码。5.3配置局域网到局域网的VPN理解了上述的VPN相关概念,配置VPN就相当简单了。通常情况下，配置VPN有如下三个步骤：.设置VPN的相关参数，比如NAT穿透选项、隧道保持或动态接入等等:.添加VPN节点对象;.添加安全隧道对象;.添加VPN策略;典型环境下的VPN配置本节用ー个具体案例来说明在典型环境下的VPN配置。在这个环境中,VPN两端都只有一个局域网,局域网中主机默认网关都指向安全网关的LANロ,假设总部采用固定地址接入,固定地址假设为,分部采用ADSL拨号接入（动态公有IP地址）;总部安全网关LAN口地址为!/24,分部安全网关LAN口地址为/24〇首先应该在两端的安全网关中设置双方安全网关的相关信息和接口地址,接着在“对象管理”==>“网络地址”==>“地址”中分别添加双方局域网的IP地址对象。考虑到这是ー个ー・端固定地址、一端动态地址的情况,可以采用以下两种方式进行VPN互联:不使用策略服务器,由分部单边发起密钥协商,使用隧道保持功能,保证隧道一直存在;使用策略服务器，双方都可以发起协商;根据用户自己的网络环境选择隧道保持功能或设置动态接入选项,在下面的实际案例中将不进行此项配置。接着点击“VPN”大项下的“VPN节点”选项，点击导航栏上的“添加”按钮，在双方安全网关上分别添加对方VPN节点对象,指定对端网关的相关信息。◊“名称”通常输入对方安全网关的名字或相关描述信息，◊“地址”可选择动态、DNS或静态IP,是指对方安全网关的接入方式，如果是静态IP,则需输入具体的IP地址〇“身份标识”通常选择“IP地址”,如果在上方的地址类型选项中选择了“静态地址”,输入对方安全网关的静态地址;如果地址类型选择了“动态地址”，则输入对方网关的LANロIP地址,〇“认证密钥”在采用预共享密钥认证方式下使用，需输入与对方安全网关协商的预共享密钥（双方的预共享密钥必须一致）。在总部安全网关上添加分部VPN节点对象的界面如下:在分部安全网关上添加总部VPN节点对象的界面如下:其次,在双方网关上添加VPN隧道,指定建立隧道的VPN节点、隧道类型和安全等级。安全隧道是从4.1版本开始增加的VPN対象,将原来的VPN隧道进行抽象并通过外在的表现形式表示出来，使用户能对每ー个VPN隧道的状态（是否活动），流经隧道的流量进行监控，能随时清除每ー个隧道相关的动态信息，使动态信息重新协商。通过安全隧道的独立，使不同的策略都可以使用同一条安全隧道,增加了VPN配置的灵活性,降低多个网段进行VPN互联时的复杂程度。在总部安全网关上添加分部隧道对象的界面如F:

在分部安全网关上添加总部隧道对象的界面如下:注意:添加安全隧道对象时,可以添加备份端点来实现隧道的备份,工作原理为:当与主端点协商三次不成功后，网关自动与备份端点进行IKE协商,同理当备份端点不通时,将再次与主节点协商,以轮循的方式实现隧道的备份。配置中,要注意双方的安全等级必须一致,“端点”必须选择对方的VPN节点对象。最后在双方的安全网关上分别添加安全策略,为了保证双方能够相互访问,在添加VPN策略时选择“创建反向策略”的复选框。在总部和分部各需添加一条VPN策略。策略添加的基本方法为:VPN策略的源地址通常是本网关保护的子网或IP地址范围（通常是LAN口所接网段）,目的地址是对方VPN网关所保护的子网或!P地址范围,从数据流向来看是从本地子网流向对方子网;而反向的防火墙策略与VPN策略五元组正好颠倒,从数据流向来看是从对方子网流向本地子网。需要注意的是,双方的VPN策略必须是完全镜像的，即总部的源地址、源端口必须是分部的目的地址、目的端口，相反总部的目的地址、目的端口必须是分部的源地址、源端口，在分部安全网关上添加到总部的VPN策略如下图:在总部安全网关上添加到分部的VPN策略如ド图:至此双方的VPN配置已经完成,只要有流量触发或选中了“隧道保持”选项,双方就能建立起安全隧道,进行VPN通信。补充说明:选中“创建反向策略”是为了能够让对方子网能主动访问本地子网,如果在ー个VPN网络中只允许单向访问,则主动访问方无需添加反向防火墙放行策略。比如只允许总部子网访问分部子网,不允许分部子网访问总部子网,则在总部网关上无需添加反向防火墙策略。但无论如何,VPN通信双方至少有一方需添加反向的防火墙策略。5.3.2局域网中有多个网段时的VPN配置当VPN通信双方的内网中有三层交换机或路由,即VPN通信双方不仅仅是与安全网关LAN口同一网段的子网时,此时需要在安全网关和三层交换机或路由器上添加静态路由,而VPN的配置则与上述的典型环境下的配置并无区别。下面举例来说明。假设ー个大型企业总部通过三层交换机划分了3个VLAN,分别为/24、/24和/24:分部也同样用三层交换机划分了3个VLAN,分别为/24、/24和/24;而双方安全网关的LAN口地址分别为和,双方三层交换机的1P地址分别为54和54（与安全网关LANロ同一网段的接口地址）,要通过VPN实现总部和分部各个子网之间的互通。此时VPN有两种配置方法:其ー,因为总部和分部地址规划时隔离度比较好,可以将总部和分部的地址分别归纳到ー个16位掩码的IP地址段中,因此双方可以只添加一条策略,对总部来说,源地址为/16、目的地址为/16!对分部来说,源地址为/16、目的地址为/16,网关对象设置与典型情况下的一致。这种配置方法的优点是简单，缺点是控制粒度不够。其二，为每个网段分别来添加VPN策略,比如总部分别配置/24到/24加密、/24到/24加密依次类推,在这种方式下,如果要实现各个网段的两两互通,则总部和分部安全网关上分别需要配置9条策略,当VLAN数H更多，网络结点更多的情况下,策略数目还将增加。这种配置方法的优先是控制粒度细,缺点是策略舒服繁多，配置复杂。用户可以根据自己的安全性需求等具体情况来选择上述两种策略配置方法。除了VPN策略，在这种情况下还需要在三层交换机和安全网关上分别添加静态路由，以保证发到对方的IP报文能到达安全网关的LANロ，添加静态路由也有归纳添加和分别添加两种方式:首先介绍归纳添加,在总部的三层交换机上添加如下路由:iproute,在分部的三层交换机上添加如下路由:iproute,在总部的安全网关上添加如下路由：在分部安全网关上添加如下路由:

分别添加路由的方法,在总部三层交换机上添加如下三条路由:iproute；iproute 依次类推;在分部三层交换机上添加如下三条路由:iproute；iproute依次类推。在总部安全网关卜.添加如下两条路由;依次类推;在分部安全网关上添加如ド两条路由:

……依次类推:厂家建议:在这种情况下,在配置安全策略时可以采用归纳的办法,以减轻配置策略的工作量和复杂度,而在配置路由时采用分别添加的办法，来控制VPN的访问控制粒度。注意:当安全网关和防火墙并行配置时,也可利用上述的添加静态路由的方法来解决局域网中主机把默认网关指向防火墙的问题。5.4VPN向导为了减少用户初次配置的复杂性,可以使用VPN向导进行配置,根据向导的提示进行每ー步的操作，轻松的建立VPN。打开VPN向导可以通过两种途径:在安全网关控制台的“工具”菜单下选择“VPN向导”或直接选择安全控制台首界面下的VPN向导链接。打开VPN向导后的界面如ド图所示:点击“下ー步”，选择客户端接入还是网关对网关的VPN互通:

点击“下ー步”,进行安全隧道的选择或者是创建,如果是第一次建立隧道,选择创建,如果希望使用已有隧道，则从隧道列表中选取隧道，在“对端网关信息”中，填入对方网关的WAN地址，如果是DNS为DNS域名，如果是动态地址为,设置LAN地址和掩码，如下图:点击“下ー步”,选择使用VPN隧道的本地网络，如果已有地址对象，点击“选择”按钮从地址列表中选择,如果没有，点击“新建”按钮创建地址对象，如下图:

点击“下ー步”,选择VPN隧道连接的对端网络,如果已有地址对象,点击“选择”按钮从地址列表中选择,如果没有,点击“新建”按钮创建地址对象,如ド图点击“ドー步”，进行VPN高级设置，伪装地址选项用于控制对端网络通过VPN访问本地网络时是否使用伪装后的地址进行，即VPN解密后再进行地址映射。“高级”按钮用于设置VPN的安全等级、预共享密钥等信息，一般情况下不进行修改。点击“下ー步”，点击“开始”，进行VPN相关配置的自动生成。

由向导向导自动生成的节点、隧道、策略如下:名称」类型1身份标识客户偏!网关石户・o.o.o.oO.O.O.O网美划联_俯＜206网关名称1类型1安全警级1VPN节点 1备份节点1カを1进入流量1外出直量IKE中客户・网关0.624KBytes1.779KBytesIKE快速險道xpawxO.OOOKBvtesO.OOOKBytes网关到网关—TbNNB.IKE中同关到阿关ーVP… -O.OOOKBytesO.OOOKBytes名称目的地址 ・务动作 时值表用戸U证快速四开启关闭美匍关闭anyanyVPNJJDff放行anyany0到网关一VPN□f冈关到网关—VPNPASS第6章防火墙配置地址映射（NAT）配置地址映射（NAT）是安全网关具备的一个基本功能,安全网关提供三种NAT功能,即地址池映射（动态NAPT映射）、静态映射（静态NAT）和静态端口映射（静态NAPT）。这三种NAT分别起以下作用:地址池映射:只有一个或少数几个公有地址，提供内网的私有地址转换成该公有地址，提供上网功能;静态映射:将内网的一台或若干台主机完全映射成一个公网IP地址，向外提供服务;静态端口映射：将内网的主机的某ー个或几个端口映射到公网IP的某个端口±,通常用于向外提供某些服务。在以上几种NAT中,地址池映射和静态端口映射最为常用。配置NAT的通常步骤配置NAT通常要经过以下两个步骤:.添加NAT对象,如果是地址池映射，则添加地址池对象:.添加NAT策略，并选择ー个NAT对象（或地址池对象）绑定到策略;添加NAT对象配置上述的三种NAT,分别需添加三种不同的NAT对象或地址池对象，配置NAT对象或地址池对象在“防火墙”大项下的“地址映射”小项下。〇地址池对象的添加如果安全网关通过动态IP地址接入互联网（比如PPPoE拨号或DHCP自动获得地址）,就无需去手工添加一个地址池对象，则安全网关会自动生成一个名称为“一SYS一DYN.POOL”的地址池对象,在添加NAT策略时直接引用即可。在使用静态IP地址（直接设置WAN口地址）的情况下，添加地址池対象的步骤如下:选中左侧“防火墙”大项下的“地址映射”小项下的“地址池”子项,点击导航栏上的“添加”按钮;在弹出的对话框中输入地址池的名称和地址池的地址范围,通常情况下起始地址与结束地址为同一个地址:点击“确定”按钮。如下图:◊静态NAT对象的添加添加静态NAT对象的步骤如下:选中左侧“防火墙”大项下的“地址映射”小项下的“静态NAT”子项,点击导航栏上的“添加”按钮:在弹出的对话框中输入静态NAT对象的名称,映射前的IP地址和映射后的IP地址：点击“确定”按钮。如下图：注意:不允许将WANロIP地址或动态获得（PPPoE拨号、DHCP获得）的IP地址作为映射后IP地址去映射一个内网主机,否则会导致错误的状态。〇静态NAPT对象的添加添加静态NAPT対象的步骤如下:选中左侧“防火墻”大项下的“地址映射”小项下的“静态NAPT”子项,点击导航栏上的“添加”按钮;在弹出的对话框中输入静态NAPT对象的名称、选择协议、输入映射前的IP地址、端口和映射后的IP地址、端口;点击“确定”按钮。如下图:注意:可以将安全网关的WAN口地址作为映射后地址来做静态NAPT,但是映射后端口应在50000以下。注意:当安全网关采用动态!P地址（PPPoE拨号、DHCP获得）接入时,添加